Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act (DORA) ist eine auf der Europäischen Union basierende Gesetzgebung, die darauf abzielt, die digitale Resilienz und die Finanzindustrie zu verbessern und zu standardisieren. DORA basiert auf der einfachen Idee, dass Finanzunternehmen auf Bedrohungen der Informations- und Kommunikationstechnologie (IKT) vorbereitet sein müssen.

Die moderne digitale Landschaft ist voller ausgeklügelter und häufiger Bedrohungen für kritische Vermögenswerte, und Finanzinstitute müssen ihrer Cyber-Resilienz Priorität einräumen.

Sehen Sie sich eine Demo an Weitere Informationen

Was ist der Digital Operational Resilience Act (DORA)?

Was ist DORA Compliance?

DORA ermutigt Unternehmen, innerhalb eines gesetzlich vorgesehenen regulatorischen Rahmens flexible betriebliche Resilienzfähigkeiten zu schaffen, einschließlich:

Entwicklung starker Risikomanagementpraktiken
Durchführung von internen Audits und Self-Assessments
Implementierung von Kontrollen zur Minimierung von IKT-Risiken

DORA zeichnet sich dadurch aus, dass es darauf abzielt, eine starke Governance zu fördern und es jedem Unternehmen zu ermöglichen, sich an seinen eigenen individuellen Kontext anzupassen. Angesichts von DORA müssen Unternehmen in der Finanzbranche darauf vorbereitet sein, effektiv auf verschiedene Formen digitaler Störungen zu reagieren – von Systemausfällen bis hin zu Cyberangriffen – und gleichzeitig ihren Geschäftsbetrieb aufrechtzuerhalten.

Warum wird DORA benötigt?

Der Finanzsektor bewegt sich in einem hochgradig vernetzten digitalen Umfeld.

Diese zunehmende Abhängigkeit von IKT und Drittanbietern für geschäftskritische Systeme und Infrastrukturen hat die digitale Angriffsfläche vergrößert, so dass Finanzunternehmen weitaus größeren Cybersicherheitsbedrohungen ausgesetzt sind. Cyber-Angriffe, die Systeme kompromittieren oder stören, sensible Daten verändern oder exfiltrieren und den Ruf von Institutionen zerstören, bedrohen die Stabilität des gesamten Finanzsystems.

Unter Berücksichtigung der DORA-Compliance-Anforderungen ist es für Unternehmen, die im Finanzbereich tätig sind, wichtig, das IT-Risikomanagement und die betriebliche Resilienz zu stärken. Ein wirksamer Ansatz umfasst alle Aspekte des IKT-bezogenen Risikos, einschließlich:

Durch die Implementierung der DORA-Anforderungen machen Finanzinstitute Fortschritte, um sich vor Cyber-Bedrohungen zu schützen, die Geschäftskontinuität aufrechtzuerhalten und das Vertrauen ihrer Kunden zu stärken.

Was deckt die DORA ab?

Das Hauptaugenmerk liegt auf der betrieblichen Resilienz, um den kontinuierlichen Betrieb in einer potenziell feindlichen digitalen Umgebung zu gewährleisten. Um schnell auf IKT-Bedrohungen reagieren zu können, müssen Unternehmen, die im Finanzdienstleistungssektor tätig sind, ihre Resilienzpläne anhand dieser sechs Kernprinzipien priorisieren:

Risikomanagement: Etablierung eines ICT-Risikomanagement-Frameworks, einschließlich umfassender interner Governance, Selbstbewertungen und Kontrollen zur Identifizierung und Minimierung von Risiken.
Informations- und Informationsaustausch: Finanzunternehmen werden ermutigt, über Prozesse zu verfügen, um über Cyberbedrohungen zu berichten und Informationen darüber innerhalb der Sicherheitsgemeinschaft auszutauschen.
Third-Party-Risikomanagement: DORA verlangt, dass Unternehmen Sicherheitsmaßnahmen implementieren, die die Lieferkette abdecken.
Planung der Geschäftskontinuität: Finanzdienstleister müssen über einen gründlichen und gut getesteten Kontinuitätsplan verfügen, um den Betrieb bei Sicherheitsvorfällen aufrechtzuerhalten.
Incident Response und Krisenmanagement: DORA ist eine Schlüsselkomponente der digitalen Resilienz und schreibt das Vorhandensein eines gut entwickelten Incident-Response-Plans vor, um IKT-Vorfälle zu kategorisieren, zu verwalten und darüber zu berichten.
Kontinuierliches Testen und Überwachen: DORA verlangt von Unternehmen, dass sie Systeme regelmäßig auf anomale Aktivitäten testen und überwachen, um sicherzustellen, dass sie gegen Cyber-Bedrohungen widerstandsfähig sind.

Die Hauptanforderungen von DORA

Die folgenden Elemente stellen die Kernanforderungen dar, die Finanzinstitute und Dienstleister einhalten müssen, um auf eine vollständige DORA-Konformität hinzuarbeiten:

Unternehmen müssen Kontrollen implementieren, um das IKT-Risiko zu minimieren, und müssen in der Lage sein, ihre Widerstandsfähigkeit durch regelmäßige Tests nachzuweisen, um zu zeigen, dass sie Sicherheitsvorfällen ohne nennenswerte Unterbrechungen der Dienste standhalten können.
DORA schreibt die Etablierung solider ICT-Risikomanagementprozesse vor, die eine gründliche Selbstbewertung beinhalten, um die bestehende Sicherheitshaltung des Unternehmens und potenzielle Schwachstellen zu identifizieren.
Unternehmen müssen Ressourcen bereitstellen, um die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen. Dazu gehört auch die Förderung des Fachpersonals mit Fachkenntnissen im Management von IKT-Systemen.
Unternehmen müssen außerdem eine detaillierte Dokumentation erstellen, in der die Maßnahmen zur Gewährleistung der Resilienz des digitalen Betriebs erläutert werden. Dazu gehören Kontinuitätspläne, Incident-Response-Pläne als Reaktion auf IKT-bezogene Vorfälle, Data-Governance-Strukturen sowie Test- und Reporting-Aktivitäten.
Die Kontrollen, die DORA in Bezug auf IKT-Systeme Dritter (z. Cloud-Anbieter) ermutigen Unternehmen, Verträge zu kategorisieren und zu bewerten, zusätzliche Compliance-Zusicherungen von Service Providern zu verlangen und den Versicherungsschutz zu aktualisieren, um neue Anforderungen zu erfüllen.

Wie können sich Unternehmen auf DORA vorbereiten?

Finanzinstitute müssen zu Beginn der Vorbereitungen eine Lückenbewertung durchführen, um die Bereiche zu identifizieren, in denen Verbesserungen erforderlich sind. Bei der Gap-Bewertung sollte die Einhaltung der ESA-Richtlinien, NIS und CROE durch DORA sowie der IT-Risikomanagementstandards wie NIST CSF, ISO, ITIL und COBIT festgestellt werden.

Abhängig von den Besonderheiten Ihres Unternehmens kann auch die HIPAA-Compliance ein Faktor sein.

Letztendlich wird diese Analyse dazu beitragen, die Schlüsselbereiche zu identifizieren, die nicht mehr konform mit DORA sind, und die Erstellung einer Strategie für digitale Resilienz unterstützen.

Nach Abschluss der Lückenbewertung sollten Unternehmen eine Roadmap erstellen, die die Implementierungszeitpläne definiert und bei der Priorisierung von Plänen für die Zuweisung von Ressourcen und die Implementierung von Sicherheitssystemen hilft, um die Compliance-Anforderungen zu erfüllen.

Wird sich DORA auf mein Unternehmen auswirken?

Ein wesentlicher Aspekt von DORA ist die verstärkte Beaufsichtigung von Finanzunternehmen durch die Europäischen Aufsichtsbehörden (ESAs). Dies wird zu stärkeren Kontrollen führen, um die digitale Resilienz zu gewährleisten.

Unternehmen im Finanzsektor werden erhebliche Investitionen in das IT-Risikomanagement sowie in die Erkennung und Sicherheit von Cyberbedrohungen benötigen. Darüber hinaus wird die NIS2-Richtlinie, ein Cybersicherheitsstandard, der parallel zu DORA steht, eine breite Palette von Geschäftsbereichen betreffen. Zusammen können diese Vorschriften zu erhöhten Kosten führen, da Unternehmen ihre Systeme und Mitarbeiter umrüsten, um ihre strengen Anforderungen zu erfüllen.

Unter Berücksichtigung all dieser Herausforderungen ist es wichtig, einen proaktiven Ansatz zu verfolgen, um die DORA-Anforderungen einzuhalten. DORA wird zu einer verstärkten Kontrolle und strengeren Vorschriften für Unternehmen des Finanzsektors führen, was zu höheren Kosten für diese Institutionen führen wird.

Wenn Unternehmen jetzt damit beginnen, können sie sich in dieser neuen regulatorischen Landschaft besser zurechtfinden, damit sie gründlich auf die DORA-Anforderungen vorbereitet sind.

Aktueller Status von DORA

DORA trat im Januar 2023 in Kraft und Unternehmen haben bis Januar 2025 Zeit, um die Verordnung vollständig einzuhalten, daher ist es für Unternehmen unerlässlich, sofort mit den Compliance-Vorbereitungen zu beginnen.

Da die Compliance-Frist immer näher rückt, wird es für Sicherheitsexperten in der Finanzbranche immer wichtiger zu verstehen, welche Schritte sie unternehmen müssen, um die DORA-Compliance zu gewährleisten.

Zwei wichtige Meilensteine, die vor Januar 2025 zu beachten sind, sind die Zertifizierungsprozesse der ESA und der Beginn der obligatorischen Threat Led Penetration Testing (TLPT), die einen Rahmen für die Bewertung der Bereitschaft von Finanzinstituten bieten werden.

Wie Check Point Solutions bei der DORA-Compliance helfen

Während wir uns in der Komplexität von DORA zurechtfinden und die Frist für die vollständige Compliance näher rückt, müssen Unternehmen proaktive Schritte unternehmen, um die Compliance sicherzustellen.

Um die Vorschriften für die schnelle Meldung von Vorfällen, das Risikomanagement von Drittanbietern und erhöhte Auditanforderungen zu erfüllen, ist es unerlässlich, proaktive Schritte zu unternehmen, um die aktuelle Bereitschaft zu verstehen und Bereiche des Unternehmens zu identifizieren, die möglicherweise gegen die Compliance verstoßen.

Das Check Point NIS2/DORA Readiness Assessment kann Ihnen dabei helfen, die Compliance zu verbessern oder zu erreichen, indem es Ihr Unternehmen vor dem Stichtag im Januar 2025 auf DORA vorbereitet.

Check Point Software ist gut gerüstet, um mit Ihnen zusammenzuarbeiten, um sich auf NIS2 und DORA vorzubereiten. Gemeinsam können wir eine Kultur der betrieblichen Resilienz in Ihrem Unternehmen fördern, um das Risiko von Cyberbedrohungen und der Nichteinhaltung gesetzlicher Vorschriften zu verringern.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK